Pages

May 2, 2014

BankID - mangler personvern og sikkerhet

Om BankID:
BankID nyttes for å identifisere person, kryptere meldinger og eventuelt også for elektronisk signering av dokumenter.

Det er svært vanskelig å innhente tilfredsstillende informasjon om BankID (og om mobilBank).
Ved henvendelse til bank(er) møtes en med fiendtlig motstand, mangelfull informasjon og henvisninger til intetsigende nettsider. Avtalevilkår og eventuelt brukerdokumentasjon kunden får ved inngåelse av kontrakt om BankID belyser heller ikke aktuelle spørsmål.
Bankens kunder får ikke den informasjonen en bank bør gi vedrørende sikkerhet og personvern.

Fra tidligere mediaoppslag har en også sett at bankene og Post- og Teletilsynet (Nasjonal kommunikasjonsmyndighet) har forsøkt å kvele stemmer som påpeker sikkerhetsmessige svakheter ved BankID og at mange røster har advart mot utvidet bruk av BankID.


I flg. nettsiden BankID.no vil et nettsted som støtter BankID, få brukerens navn og fødselsdato. Dersom nettstedet også har “konsesjon eller lovhjemmel til å benytte fødselsnummer” får nettstedet i tillegg tilgang til fødselsnummer til alle brukere, mens de som ikke har konsesjon kan nytte PID (Personal BankID nummer) som er en unik identifikator for hver bruker av BankID.
Etter å ha sjekket dette har jeg fått bekreftet fra bank at konsesjonen"  ikke er en autorisasjonsordning for nettsteder, men baserer seg på "egenerklæring”.

Ved spørsmål til DnB om hvorfor de distribuerer kundens persondata til nettsteder hvor en betaler via BankID, fikk jeg svar at jeg måtte jo selv sjekke at de nettstedene jeg benyttet var seriøse.




Når du kjøper eksempelvis en bok eller en CD fra et nettsted , og som du betaler via BankID på mobil, så blir dette en transaksjon med 5 involverte parter: Nettstedet du handler fra, du selv, banken din, Nets via BankID og teleoperatøren som har utstedt ditt SIMkort med embedded kode for BankID. 

 Ved bruk av BankID for signering av dokument er det enda verre, da 
“BankID lagrer dette for å kunne sikre at signaturen ble gjort på aktuelt tidspunkt og at sertifikatet var gyldig på det aktuelle tidspunktet".

Det er fantastisk lite kreativt at noen har klart å koke sammen så elendig løsning for noe som kan gjøres teknisk elegant, personvernvennlig og med høy sikkert.


PID

Infrastrukturen for BankID har et sentralt register hvor personlig identitetsnummer, PID, er unik for hver person, og uavhengig av hvilken bank som utsteder BankID. En bruker kan ha flere enn én BankID (for eksempel BankID fra 2 forskjellige banker), men alle vil da ha samme PID-nummer.

I “BBS BankID COI White Paper “ fra 2005 nevnes at grunnet personvernhensyn bør kunden kunne velge å ha forskjellig PID på forskjellige BankID'er, men dette nevnes ikke i noe informasjon for bruker, og bankene har ignorert dette.
I tillegg til personvernfientlig så er dette en stor sikkerhetsrisiko.
Om en person nytter din ID (via forfalskning, IDtyveri) og oppretter en BankID i ditt navn, men i en annen bank, så vil også denne nye BankID ha samme PID-nummer som din egen BankID. Dette vil gi tilgang til din bankkonto, uten å måtte ha ditt passord eller pinkode.

Det er ikke spesielt vanskelig å få tilgang til andres personnummer da bankene distribuerer ut unødig og overflødig persondata til nettsteder du handler fra. (Skattemyndighetene er også behjelpelig med å massedistribuere personnummer.)


BankID for mobil knyttes mot abonnement hos teleoperatør, via embeddet informasjon på SIMkortet, noe som bringer ytterlig flere utfordringer for personvernet. Dette berører mobiloperatøren, som da også får (udokumentert for brukeren) innsyn i bruk av BankID.

Hvordan vil fremtiden arte seg når individets identitet embeddes i eller via en smarttelefon? 



Hvilke opplysninger akkumuleres av banken, når en kunder bruker BankID?
Dette burde stå i en personvern-deklarasjon, men sådann informasjon er ikke tilgjengelig for kunden.
I avtalevilkår (for opprettelse av BankID) under “Vern om passord og andre sikkerhetsprosedyrer “ finner en at
Banken kan som ett av flere sikkerhetstiltak identifisere den datamaskin som Kunden anvender ved bruk av PersonBankID. Informasjon om datamaskinen, IP-adresse og eventuelle *avvik fra normalt brukermiljø”
(*"avvik" indikerer mining (profiling) av kunden)

I “Regler om BankID” fra Finans Norge står følgende:
Banken skal lagre ... i minst ti år ....Andre registrerte opplysninger (herunder valideringsforespørsler og -svar) ...skal lagres …. “



Så hva lagres, og hvordan innhentes denne informasjonen?
Kunden opplyses ikke om at ved bruk av BankID vil det bli lagret informasjon om eksempelvis hvilke nettsteder brukeren nyttet BankID for å identifisere seg, hvilke dokumenter brukeren signerer, tidspunkt og sted, IP-adresse, nøkkel, geografisk lokasjons data og annen trafikkdata.

Når BankID nyttes ved innlogging eller identifisering på nettsteder, eller signering, vil banken innhente informasjon også om dette, selv om en ikke kjøper/betaler noe med BankID.

For nettsteder som ikke nytter personnummer, kan PID nyttes for å gjenkjenne en kunde som nytter mere enn en BankID – og på tvers av nettsteder.



PKI – Public Key Infrastruktur
Infrastrukturen for BankID avviker på flere områder fra det en omtaler som “PKI” (som er basert på X.509 sertifikater og relaterte standarder for generering av nøkkel-par lokalt hos bruker (privat og offentlig nøkkel nyttes ved kryptering), signering, autentisering og integritet for etterrettelighet).

Det er bankens infrastruktur som genererer nøkkelpar på vegne av personkunden i sin enhet, og banken lagrer kundens private nøkkel. Dette er kritikkverdig selv om Post- og teletilsynet (Nasjonal kommunikasjonsmyndighet) har konkluderer med at "kundens kontroll over private nøkler er tilstrekkelig til å oppfylle den «norske kravspesifikasjon for PKI i offentlig sektor" sikkerhetsnivå "Person Høyt" for autentisering og digital signatur.
Dette er uakseptabelt da det - kun - er brukeren som skal ha muligheter for å generere sin private nøkkel.
I den fysiske verden tilsvarer dette at en lar statsapparatet med familie og venner ha kopier av sine nøkler til bolig og bankboks. Eller som å låne bort din signatur: Banken kan generere din elektroniske signatur.


Institutt for informatikk/UiB , skrev i en rapport i 2008 at bankene nektet å gi informasjon om infrastrukturen, og opererer med “security-through-secrecy-policy”.
The banks have already been able to convince the Norwegian Post and Telecommunications Authority how only the end-users can grant the central infrastructure access to private keys inside an HSM. However, the authority has refused to share its reasons for accepting central key storage. This is unfortunate since the lack of information makes it very difficult for an end-user (or his lawyer) to challenge a bank’s claims about the non-repudiation during a dispute.
Not surprisingly, the Norwegian banking community has also refused to share any information with us about the system they use for non-repudiation. As far as we know, the non-repudiation protocols have not been analyzed by independent security experts or tested in Norwegian courts. “

Dette har betydning for (din) datasikkerhet, og også for juridiske forhold, men her omtaler jeg ikke den delen. Samt – også – når informasjon av slik art holdes skjult, vet en heller ikke om sikkerhetssvakheter forbedres.

Den samme rapporten skriver også (om personvernet):
No citizen in any country should be forced to use a national ID system before an analysis of the system’s privacy implications is made public and any discovered weaknesses in the privacy protection are corrected. Robust safeguards against profile building should be in place before any ID system is accepted by a nation’s government”
og
"The Norwegian banking community controls an ID system with the potential to build detailed profiles of roughly half of the Norwegian population as long as the BankID authentication utilizes X.509 certificates and SSNs (personnummer).
The BankID customers don’t know how their personal information is utilized.”

Om et stort antall brukere nytter BankID for digital aksess til en rekke forskjellige tjenester (slik myndighetenes privat-offentlig-partnerskap legger opp ved eID innenfor offentlige tjenester), kan en bygge økende detaljerte databaser om individets liv og gjøremål - hvor data fra bruk av offentlige tjenester, profesjonelle tjenester, og fra den private sfære, kombineres.


Tenk deg at du bruker kun én eneste elektronisk ID for alt du gjør: (klikk på bildet for større utgave) Diagrammet under her er hentet fra World Economic Forum Rethinking Personal Data Project




Om elektronisk ID (eID, BankID) er laget uten tanke for personvern, vil data om bruk fra alle plattformer og nettsteder hvor denne eID benyttes, kunne sammenkobles: BankID er ikke laget med personvern i tankene. Ei heller "ID-portalen" eller det planlagte "nasjonal eID".

Av hensyn til personvern (og sikkerhet) bør der kun foregå kommunikasjon mellom brukeren/kundens eID og tjenesten som aksesseres (nettstedet) - aldri samme ID på tvers av tjenester og nettsteder.

BankID, derimot, er mellomledd for en rekke forskjellige elektroniske tjenester, og slik bør det ikke være.

Nets Holding som nå også eier norske BankID's infrastruktur - er kjent fra etterforskningen om danske Se & Hør's tilgang til transaksjonsdata fra kjendiser og kongeliges betalingskort. Tilsvarende så ble det ikke politietterforskning da banktransaksjoner fra Ari Behn og Märtha Louise  ble lekket over lang tid, bl.a. til norske Se & Hør.
Men i Norge bryr en seg ikke om "småkriminalitet" mot individer, og slettes ikke om individets personvern.

Nets og personvernet:
En leser gjorde meg oppmerksom på at det har blitt tatt opp i Stortingen (interpellasjon fra Michael Tetzschner (H) til finansministeren) om Nets infrastrukturen vedrørende betalingsformidling i Norge og andre land, relatert personvernet for norske brukere av e-faktura, e-arkivering,  avtalegiro, betalingsservice, nasjonale BankID-løsninger, kreditt- og debetkort, BankAxept, osv.
Denne infrastrukturen er nå international og solgt ut av Norge og ut av Europa - til USA.
(Se fra Stortingets videoarkiv 8.mai 2014).


Bryter bankene personvernet ?
ENISA (European Union Agency for Network and Information Security) publiserte en rapport i desember 2013, eID Authentication methods in e-Finance and e-Payment services - Current practices and Recommendations hvor det fremkommer at bankenes sikkerhet baserer seg på "profiling" av bruker og bruksmønster, og at dette kan komme i konflikt med EU's personvernlovgivning fordi regelverket
"includes also a "ban on profiling", i.e. monitoring of customer transactions may be only possible with the prior consent of the customer - something which at least theoretically could affect the possibilities to monitor transaction on potential fraud, that may have an impact on the right to use these techniques. For this reason, maybe it will be necessary to set up legal notices advising the user about their implementation/" 

På spørsmål om hvordan en kan reservere seg mot at unødig personinformasjon distribueres via BankID har jeg ikke fått svar fra noen banker. Ikke noe tilsier at dette er mulig og bankene har valgt å ikke svare.

Om en leter litt rundt på nettsidene til (noen) banker, finner en også at kundedata deles med en mengde andre firmaer.


Sparebank1 har fått følgende spørsmål:
"Har du/dere kommentarer/invendinger/noe du mener er uriktig her - så skal jeg inkludere det innen jeg oversetter for engelsk."
Ingen kommentarer er mottatt.


Paranoia eller vern av private sfære?

Den amerikansk tenketanken ITIF skrev (om eID) :
Privacy advocates raise objections to the use of enhanced identification cards or national identification cards, citing potential threats to civil liberties, including increased monitoring and surveillance and a decrease in anonymous free speech.
Certainly some of these objections are valid: totalitarian governments can and have used this type of technology to decrease personal freedom. However, technology does not dictate the values of a society. While totalitarian governments may have created national IDs, national IDs did not create totalitarian governments.
Dette ble skrevet før amerikanerne lære fra Snowden, kanskje de har et annet syn i dag, eller kanskje mener de fortsatt at det er greit i demokratier men ikke i diktaturer...
(Motstanden i EU-landene har vært stor mot nasjonale eID. Bl.a. av de årsaker som jeg har omtalt ovenfor. Dette er en annen, men noe beslektet, sak).


“Privacy Problems”, se 3.5 I Weaknesses in BankID, a PKI-substitute Deployedby Norwegian Banks (2008, Springer)
Abstract
BankID is a PKI-substitute widely deployed by Norwegian banks 
to provide digital signatures and identification on the internet. 
We have performed a reverse-engineering of part of the BankID system and analysed the security protocols and the implementation of certain cryptographicprimitives. We have found cryptographic weaknesses that may indicate security problems, protocol flaws facilitating man-in-the-middle attacks, and implementation errors facilitating strong insider attacks. 
We also note that the system suffers from severe privacy problems.






Kilder: 


Hvilken informasjon vil bankene ha om deg?

BankID er skumle greier

Tok opp lån med annens persons BankID


Informasjon fra bankene/BankID Norge:

BankID har nå fjernet disse linkene som hadde høyst relevant informasjon for kundene, og relatert både sikkerhet og personvern.

Avtalevilkår -vedlegg

Aktive brukersteder med BankID


BankID på mobil

Med BankID får nettstedet tilgang til nyttig informasjon om kunden sombruker BankID.
(Denne linken viser person-uvennlig distribusjon av persondata, bl.a. skjermbildet ovefor.)

BankID-app for iOS og Android
Om “venneregnskap”

Regler om BankID (2013)